在檢視/var/log/audit.log日誌檔案的時候,沒法識別時間,需要進行時間轉換
1:原來的日誌檔案格式
type=login msg=audit(1493503801.016:68448): pid=20835 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=11216
type=user_start msg=audit(1493503801.022:68449): user pid=20835 uid=0 auid=0 ses=11216 msg='op=pam:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=cred_disp msg=audit(1493503801.038:68450): user pid=20835 uid=0 auid=0 ses=11216 msg='op=pam:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=user_end msg=audit(1493503801.039:68451): user pid=20835 uid=0 auid=0 ses=11216 msg='op=pam:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
2:轉換之後的時間格式
read.audit.log:type=user_start msg=audit(sun may 7 08:20:01 cst 2017.997:1477): user pid=11451 uid=0 auid=0 ses=246 msg='op=pam:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=cred_disp msg=audit(sun may 7 08:20:02 cst 2017.011:1478): user pid=11451 uid=0 auid=0 ses=246 msg='op=pam:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=user_end msg=audit(sun may 7 08:20:02 cst 2017.012:1479): user pid=11451 uid=0 auid=0 ses=246 msg='op=pam:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=user_acct msg=audit(sun may 7 08:30:01 cst 2017.016:1480): user pid=11469 uid=0 auid=4294967295 ses=4294967295 msg='op=pam:accounting acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=cred_acq msg=audit(sun may 7 08:30:01 cst 2017.016:1481): user pid=11469 uid=0 auid=4294967295 ses=4294967295 msg='op=pam:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=login msg=audit(sun may 7 08:30:01 cst 2017.016:1482): pid=11469 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=247
實現方法
1:利用perl的轉換
建立perl轉換格式
[oracle@dg-master u01]$ cat timetrans.pl
s/(1\d)/localtime($1)/e
使用命令檢視
[oracle@dg-master u01]$ tail -1000 audit.log |perl -p timetrans.pl
2:使用指令碼轉換,將轉換過的檔案格式內容輸出到指定的檔案
[root@dg-master u01]$ more timetrans.sh
#!/bin/bash
file=/u01/audit.log
cat $file |while read line
doudate=`echo $line|awk -f'[(.]+' ''`
#udate=`echo $line|awk -f. '' | awk -f'(' ''`
cdate=`date -d @$udate`
echo $line|sed "s/[0-9]\/$cdate/" >>transtime.log
done
note:這裡是使用了第二種方式
輸出指定的時間段內容
[root@dg-master u01]$ sed -n '/sat may 6 02:[0-9][0-9]:[0-9][0-9] cst 2017/,$p' transtime.log
Linux6 檢視程序(動態),殺死程序
ps ps a 顯示當前所有的程序資訊 ps u 以使用者的方式顯示程序 ps x 顯示後台程序執行的引數 ps aux 一般使用這個命令 ps aux more 分頁顯示 ps aux grep sshd 搜尋sshd程序 ps ef 檢視父程序top top d 秒數 top d 10 每個10...
Linux 6 檔案許可權和目錄
chgrp r groupname dirname filename.r 進行遞迴 recursive 的持續變更,即連同次目錄下的所有檔案 目錄都更新成為這個群組。常常用在變更某乙個目錄下的所有檔案和目錄的情況。例 chgrp groupname file chown r 賬號名稱 檔案或者目錄 ...
Linux6和7破解真機密碼
linux7 1重啟,按e截停 2找到 vmlinuz 一行在該行的最後新增 rd.break console tty0 修改後按ctrl x 儲存並啟動機器 3重新掛載根檔案系統 mount o rw,remount sysroot 4切換到根目錄 chroot sysroot 5修改密碼 ech...